Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Вирус img001.exe

1 2 3 След.
RSS
 
Cтанислав
Cтанислав
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 22.04.2015
Размещено 07.04.2017 06:21:08
Здравствуйте.
Являемся вашими клиентами уже несколько лет.
Как оказалось с марта наша сеть заражена майнером img001.exe.
Сам образец отослал в тех поддержку обращение № 0001161602.
Проблема в том что вирус при принудительном сканировании распознается, но только 64 разрядная версия.
32 разрядная остается в профиле пользователя%User
profile%\Appdata\Roaming\Nsminer\nsmainer32.
Так же файл IMG001.exe копирует себя во все шары и диски, и также копирует себя для автозагрузки в папку с названием компьютера на системном диске и в профиле.
Антивирусная защита в реальном времени этот вирус не удаляет! Приходится ручками удалять.
Прошу выпустить обновление которое будет удалять этот вирус.
 
Cтанислав
Cтанислав
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 22.04.2015
Размещено 07.04.2017 06:40:43
Уважаемые коллеги, кто - то может подсказать в 5 версии корпоративного ESET можно ли указать антивирусу чтобы удалялись файлы по имени? Вот я знаю что img001.exe - это вирус и настроить антивирус чтобы он удалял их.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 07.04.2017 07:13:05
Станислав,
добавьте образ автозапуска системы, в которой есть заражение этим майнером.
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
Cтанислав
Cтанислав
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 22.04.2015
Размещено 07.04.2017 08:24:15
вот ссылка на архив вируса IMG001.exe - файл с запуска которого происходит заражение https://yadi.sk/d/SE8stzjp3GjbDc
Приаттачил образ автозапуска
 
Дмитрий
Дмитрий
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 07.04.2017 08:42:29
Пароль на архив с вирусом?

Переделайте образ автозапуска, он поврежден!.
Изменено: Дмитрий - 07.04.2017 08:43:38

 
Cтанислав
Cтанислав
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 22.04.2015
Размещено 07.04.2017 08:48:31
Пароль 123456
 
Cтанислав
Cтанислав
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 22.04.2015
Размещено 07.04.2017 08:49:56
Там архив раром спокойно открывается, разархивировал и заархивировал еще раз.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 07.04.2017 08:50:07
Дмитрий
Был изменён формат образа - для того, чтобы открыть образ нужна актуальная версия uVS 4.00 B-6
 
Дмитрий
Дмитрий
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 07.04.2017 08:54:11
Детектирование файла есть, не вижу смысла его повторно отправлять

Цитата
Log
Scan Log
Version of malware database: 15216P (20170407)
Date: 07.04.2017  Time: 8:50:59
Scanned disks, folders and files: F:\Download\IMG001\IMG001.exe
F:\Download\IMG001\IMG001.exe » NSIS » Entries.bin - is OK
F:\Download\IMG001\IMG001.exe » NSIS » Strings.txt - is OK
F:\Download\IMG001\IMG001.exe » NSIS » Script.nsi - NSIS/CoinMiner.N trojan - cleaned by deleting [1]
F:\Download\IMG001\IMG001.exe » NSIS » NsCpuCNMiner32.exe - a variant of Win32/BitCoinMiner.BX potentially unsafe application - cleaned by deleting [1]
F:\Download\IMG001\IMG001.exe » NSIS » NsCpuCNMiner64.exe - Win64/CoinMiner.J trojan - cleaned by deleting [1]
F:\Download\IMG001\IMG001.exe » NSIS » pools.txt - is OK
F:\Download\IMG001\IMG001.exe » NSIS » inetc.dll - is OK
F:\Download\IMG001\IMG001.exe » NSIS » makensis.exe - is OK
F:\Download\IMG001\IMG001.exe » NSIS » ExecDos.dll - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » Entries.bin - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » Strings.txt - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » Script.nsi - NSIS/CoinMiner.K trojan - cleaned by deleting [1]
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » NsCpuCNMiner32.exe - a variant of Win32/BitCoinMiner.BX potentially unsafe application - cleaned by deleting [1]
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » NsCpuCNMiner64.exe - Win64/CoinMiner.J trojan - cleaned by deleting [1]
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » pools.txt - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » inetc.dll - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » makensis.exe - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » ExecDos.dll - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » tftp.exe - a variant of Win32/CoinMiner.ZS trojan - cleaned by deleting [1]
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » bzip2 - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » bzip2_solid - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » folder.ico - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » icon.ico - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » lzma - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » rar.ico - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » uninst - is OK
F:\Download\IMG001\IMG001.exe » NSIS » info.zip » ZIP » IMG001.scr » NSIS » zlib - is OK
F:\Download\IMG001\IMG001.exe » NSIS » tftp.exe - a variant of Win32/CoinMiner.ZS trojan - cleaned by deleting [1]
F:\Download\IMG001\IMG001.exe » NSIS » bzip2 - is OK
F:\Download\IMG001\IMG001.exe » NSIS » bzip2_solid - is OK
F:\Download\IMG001\IMG001.exe » NSIS » folder.ico - is OK
F:\Download\IMG001\IMG001.exe » NSIS » icon.ico - is OK
F:\Download\IMG001\IMG001.exe » NSIS » lzma - is OK
F:\Download\IMG001\IMG001.exe » NSIS » rar.ico - is OK
F:\Download\IMG001\IMG001.exe » NSIS » uninst - is OK
F:\Download\IMG001\IMG001.exe » NSIS » zlib - is OK
Number of scanned objects: 36
Number of threats found: 8
Number of cleaned objects: 8
Time of completion: 8:51:13  Total scanning time: 14 sec (00:00:14)

Прошу заметить некоторые файлы детектируются как  potentially unsafe application

Включите в настройках антивируса детектирование потенциально опасных и потенциально нежелательных приложений. Проверьте файл повторно, выполните сканирование всех ПК в сети.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 07.04.2017 09:05:31
+
можно такой скрипт в uVS погонять на зараженных машинах.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0b6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D43C78BB06CA7A 64 NSIS/CoinMiner.N [ESET-NOD32]

;------------------------autoscript---------------------------

chklst
delvir

;-------------------------------------------------------------

deltmp
restart

перезагрузка, пишем о старых и новых проблемах.
------------

во вложении так же файл скрипта.
его можно скачать к себе и выполнить в uVS  в режиме: выполнить скрипт из файла
[ Как создать образ автозапуска? ]
 
1 2 3 След.
Читают тему